Daniel Rubery
我们很高兴地宣布,Windows 版 Chrome 145 现已支持设备绑定会话凭据 (DBSC),为用户提供了一种防范 Cookie 盗窃的新方法。
会话 Cookie 长期以来一直是攻击者的目标。窃取 Cookie 可让攻击者冒充用户并获取其账号的访问权限。DBSC 可将用户会话绑定到用户所用的设备,从而帮助保护用户会话的安全。它通过在设备上创建公钥/私钥对,以加密方式将身份验证会话与设备绑定。Windows 上的 Chrome 使用可信平台模块 (TPM) 在硬件中保护这些密钥。
借助 DBSC,您可以请求浏览器提供其仍拥有私钥的证明,从而验证用户在整个会话期间是否一直使用同一设备。 这使得攻击者很难使用被盗的 Cookie,因为他们通常无法访问用户设备上的私钥。
DBSC 的运作方式
DBSC 旨在实现简单直接的集成。当用户登录时,您可以通过提供 Secure-Session-Registration HTTP 响应标头来启动 DBSC。此标头会指示浏览器使用会话的公钥调用您网站上的注册端点。然后,注册端点应存储此公钥,并使用会话配置进行响应,以建立绑定会话。
绑定会话后,当绑定的 Cookie 设置为过期时,Chrome 会联系您提供的刷新端点。在此端点上,您可以质询浏览器,以证明其仍拥有与会话关联的私钥。如果质询成功,您可以签发新的 Cookie 来验证其他请求。如果验证失败,例如攻击者试图在无法访问 TPM 的其他设备上使用窃取的 Cookie,您可以拒绝该请求。
除了这两个端点之外,此协议不需要对您的身份验证流程进行任何更改。
如需详细了解如何实现 DBSC,请参阅设备绑定会话凭证开发者指南。